我如何报告PCI-DSS违规行为？

Question

将密码以明文形式存储是英国一家大型连锁超市。很明显，Mastercard的安全部门已经介入了。我想报告他们违反了PCI，因为缺乏会话安全和未散列密码代表了严重的安全问题。

我看不到任何关于报告违反PCI网站-任何想法，如果有联系或联系电子邮件为这类事情？

Answer 1

首先，感谢大家分享特洛伊·亨特的这篇非常有趣和有启发性的文章。至于你的问题，在进行了一些认真的谷歌搜索之后，在咨询了PCI DDS专业人士之后，我能给你最好的答案是：

如果该实体符合要求，而且客户或另一外部代理发现仍违反其中一项要求，他/她应能够向公司支助或联系报告这一问题，因为PCI不需要直接或正式的参考或程序。

换句话说：“去钓鱼”

Answer 2

( a) PCI-DSS是一种标准，而不是认证.这是提供信用卡支付服务的银行的要求，他们是决定一个商人是否符合标准的人。

( b)你如何知道他们不符合PCI-DSS？您可以在您的业务的各个领域的安全性很差，但仍然符合标准-它非常狭隘地集中在信用卡上。

( c)由于PCI-DSS涉及银行与客户之间的私人合同，它们遵守或不遵守PCI是您的业务之一吗？